¿Buscas alguna otra cosa?
Table of Contents
Detalles del escenario
Se necesita implementar una red segura entre 3 PLCs, para que éstos puedan comunicarse entre sí. Para ello se creará un tunnel IPSec, donde un router Titan conectado al PLC3 hará el rol del IPSec Master. Este router Titán contará con una tarjeta SIM con dirección IP fija 88.28.221.24. Los routers Titan conectados al PLC1 y PLC2 jugarán el rol de IPSec Cliente. En el siguiente esquema se expone el diagrama de conexión con el esquema de direcciones IP relevantes de todos los dispositivos.
Descripción del ejemplo
En este ejemplo se utilizará autenticación por certificado digital.
Configuraciones y requisitos previos
El requisito básico para poder llevar a cabo la aplicación es que la tarjeta SIM introducida en el router Titan que actuará como IPSec Server debe disponer de una dirección IP pública y estática. Ello es necesario para poder acceder remotamente desde los otros router Titan conectados a la Internet pública. Asegúrese también que todos los Titanes están en hora correcta, pues la gestión de generación y validez de los certificados lo necesita.
Configuración IPSEC del router Titan (SERVER)
Lo primero que debe hacerse es ir al menú “VPN > IPSEC”. Para la configuración prevista necesitaremos los certificados “ca-cert.pem”, y “server-cert.pem”. Obviamente también sus claves privadas “ca-key.pem” y “server-key.pem”. También se necesitarán un par de certificados de cliente y sus claves privadas “client1-cert.pem”, “client1-key.pem”, “client2-cert.pem”, “client2-key.pem”,
En este punto se tienen dos posibilidades. 1. Si se dispone de dichos certificados pueden subirse manualmente desde la sección indicada en rojo:
2. Si no se dispone de los certificados, el router Titan dispone de un botón para generarlos. Cuando pulse el botón se generarán automáticamente todos los certificados. El proceso puede tardar hasta 5 minutos en finalizar. Pulse el botón “REFRESH” para comprobar el estado del proceso.
En este ejemplo, utilizamos la segunda opción para generar automáticamente todos los certificados. Para ello debe, como se indicó, debe pulsar el botón “GENERATE ALL SERVER CERTIFICATES AUTOMATICALLY”.
Nota muy importante: Asegúrese que el router está en hora antes de generar los certificados
Tras finalizar el proceso correctamente éste será el resultado:
Una vez se dispone de los certificados necesarios, debe procederse a la configuración en sí de la VPN. Para ello debe activarse la casilla “Enabled” que se encuentra en el inicio de esta página de configuración y pulsar el botón “SAVE CONFIG”.
Por último, al estar basado el servicio IPSec del router Titan en strongswan, deben configurarse los ficheros “ipsec.conf” e “ipsec.secrets”. Lo más sencillo es acudir a los ejemplos de la parte inferior de la página y obtener el ejemplo más parecido a lo que se pretende configurar. En el caso de esta nota de aplicación se escoge el Ejemplo 3 (ya que estamos configurando el Server), haciendo click (descargando) los ficheros “ipsec.conf” e “ipsec.secrets” correspondientes, los cuales abriremos con un block de notas para obtener su contenido.
Dicho contenido debe adaptarse al ejemplo e insertarse en la casilla apropiada. Para “ipsec.conf”:
Y para “ipsec.secrets” (previamente debe hacerse click en la leyenda “Show/Hide” para mostrar la casilla):
Y seguidamente se pulsará el botón “SAVE CONFIG”, que grabará el contenido de ambos ficheros en la memoria interna del router Titan. Por último, si al arrancar el router no estaba iniciado el servicio IPSec (es decir, la casilla “Enabled” no estaba activa) debe reiniciarse el router completamente (menu “Other >> Reboot”). Si ya estaba iniciado el servicio IPSec (casilla “Enabled” activa), puede pulsarse únicamente el botón “RESTART IPSEC” para reiniciar el servicio IPSec con la nueva configuración sin necesidad de reiniciar el router completamente, opción mucho más rápida.
Una vez reiniciado el router o pulsado el botón “RESTART IPSEC” (si el servicio ya estaba activo), aparecerá el estado de la conexión IPSEC como se indica a continuación. Si la casilla Status aparece en blanco es que quizás todavía no se ha iniciado el servicio. Espere unos segundos y pulse el botón “REFRESH”.
Configuración IPSEC del router Titan (CLIENT)
En esta sección se configurará el router Titan con el rol de IPSec cliente que está conectado al PLC1. La configuración del segundo Titan que actúa con el mismo rol, conectado al PLC2, es completamente análoga.
Lo primero que debe hacerse es ir al menú “VPN > IPSEC”. Para la configuración prevista necesitaremos los certificados relativos a la sección “Client Certificates”.
Estos certificados pueden descargarse de la sección de certificados del router Titan que actúa como IPSec Master y que fueron generados anteriormente. Para el Titan conectado al PLC1 descargamos los ficheros “ca-cert”, “client1-cert.pem” y “client1-key.pem
Para el Titan conectado al PLC2 sería también el fichero “ca-cert” pero lo de cliente2 “client2-cert.pem”, “client2-key.pem”
Una vez subidos los certificados al router Titan, este sería el aspecto de la pantalla de configuración.
Una vez se dispone de los certificados necesarios, debe procederse a la configuración en sí de la VPN. Para ello debe activarse la casilla “Enabled” que se encuentra en el inicio de esta página de configuración y pulsar el botón “SAVE CONFIG”.
Por último, al estar basado el servicio IPSec del router Titan en strongswan, deben configurarse los ficheros “ipsec.conf” e “ipsec.secrets”. Lo más sencillo es acudir a los ejemplos de la parte inferior de la página y obtener el ejemplo más parecido a lo que se pretende configurar. En el caso de esta nota de aplicación se escoge el Ejemplo 4 (ya que estamos configurando el Cliente), haciendo click (descargando) los ficheros “ipsec.conf” e “ipsec.secrets” correspondientes, los cuales abriremos con un block de notas para obtener su contenido.
Dicho contenido debe adaptarse al escenario insertarse en la casilla apropiada. Para “ipsec.conf”:
Recuerde que en “right” deberá indicar la IP pública del Titan que actúa como IPSec Master, en el caso de este ejemplo 88.28.54.84. Nótese también que en leftcert, el valor debe ser “xclient1-cert.pem” en los 2 titanes que actúan como IPSec cliente, pues es el nombre con el que el router Titan almacena internamente dicho certificado como se vio anteriormente y como se muestra en la siguiente imagen.
Y para “ipsec.secrets” (previamente debe hacerse click en la leyenda “Show/Hide” para mostrar la casilla):
Y seguidamente se pulsará el botón “SAVE CONFIG”, que grabará el contenido de ambos ficheros en la memoria interna del router Titan. Por último, si al arrancar el router no estaba iniciado el servicio IPSec (es decir, la casilla “Enabled” no estaba activa) debe reiniciarse el router completamente (menu “Other>Reboot”). Si ya estaba iniciado el servicio IPSec (casilla “Enabled” activa), puede pulsarse únicamente el botón “RESTART IPSEC” para reiniciar el servicio IPSec con la nueva configuración sin necesidad de reiniciar el router completamente, opción mucho más rápida.
Una vez reiniciado el router o pulsado el botón “RESTART IPSEC” (si el servicio ya estaba activo), aparecerá el estado de la conexión IPSEC como se indica a continuación. Si la casilla Status aparece en blanco es que quizás todavía no se ha iniciado el servicio. Espere unos segundos y pulse el botón “REFRESH”. Si todo funciona correctamente, debe ver una pantalla como la siguiente:
En este punto el PLC1 (cliente) y PLC3 (server) ya podrían interactuar entre sí a través de un túnel seguro IPSec. Repita el mismo procedimiento para el router titan conectado al PLC2.
Ingresar el modo de conexión «ethernet» o «módem»:
En el caso de una configuración por ethernet, tener el cuidado de que los parámetros IP sean compatibles con el acceso al servidor según la configuración de la red local del concentrador. En el caso de una conexión por ethernet, la configuración debe ser compatible con la topología de la red local del concentrador para que pueda acceder a los servidores. Esta configuración se hace a través de la página de configuración «Networks» (ver capítulo 3.2.2.3: «Redes (Networks)«).
En el caso de una conexión por módem, la configuración del módem debe ser correcta antes de poder efectuar una conexión. Esta configuración se hace en la página de configuración «Modem» (ver capítulo 3.2.2.4: «Módem«).
Los parámetros de los servidores a configurar como mínimo son los siguientes:
Por lo tanto, hay que los campos: «Interface», «Type», «Server type», «Address», «Port», «Login» y «Password».
Los otros campos se pueden dejar a los valores por defecto, a condición de que los repertorios hayan sido creados antes correctamente. (Ver capítulo 3.1.2 : «Archivos de configuración« para más detalles.
Esperar. El concentrador arrancará con su configuración de fábrica.
